Opnieuw ict-probleem bij GGD: coronatest.nl niet goed genoeg beveiligd
Er is opnieuw een ict-probleem bij de GGD: de beveiliging van coronatest.nl, de overheidswebsite voor testafspraken en uitslagen, schiet tekort. Daardoor zijn de gegevens van miljoenen mensen die zich bij de GGD laten testen op het coronavirus niet voldoende beveiligd, blijkt uit vertrouwelijke stukken die de NOS heeft ingezien.
Welke beveiligingsproblemen er precies spelen, is onbekend. Maar ze zijn wel zo ernstig dat het ministerie van Binnenlandse Zaken de website dreigt af te sluiten van DigiD. Als dat gebeurt is het maken van een afspraak of inzien van de uitslag via internet niet meer mogelijk: alleen via DigiD kunnen gebruikers op de website inloggen.
Strenge eisen
Voor het gebruik van inlogmodule DigiD stelt de Rijksoverheid strenge eisen. Aan acht daarvan voldeed de GGD niet sinds de lancering van de website in augustus. In drie gevallen ging het om problemen van de categorie 'hoog risico'. De GGD is meerdere keren gewezen op de problemen met ict-beveiliging, maar heeft tot nu toe maar twee problemen weten op te lossen, waarvan één ernstig.
De problemen bevinden zich specifiek bij de GGD, die achter coronatest.nl zit. Tot drie keer toe haalde de GGD deadlines om aan de beveiligingseisen te voldoen niet.
Op coronatest.nl worden onder meer postcodes, telefoonnummers, e-mailadressen en testuitslagen geregistreerd. Op de achtergrond worden ook BSN-nummers verwerkt. Al die informatie is voor hackers die inbreken op de website mogelijk toegankelijk.
Volgens Logius, de organisatie die DigiD beheert, zijn er door de GGD-problemen geen onveilige situaties ontstaan. Maar het ministerie van Binnenlandse Zaken maakt zich er dus wel zorgen over dat dat kan gebeuren, blijkt uit de stukken.
Koepelorganisatie GGD GHOR laat in een reactie weten dat coronatest.nl inderdaad nog niet voldoet aan de eisen die voor het gebruik van DigiD worden gesteld. Er wordt volgens de GGD gewerkt aan herstel, maar de achterstand heeft volgens de organisatie "geen consequenties voor de toegankelijkheid van de website".
Exporteren
Het is niet voor het eerst dat de GGD data niet goed genoeg beveiligt. Zo bleek vorige maand dat gegevens van mensen te koop werden aangeboden. Ook bleken duizenden medewerkers datasets met privé-gegevens te kunnen exporteren.
Of er daadwerkelijk op grote schaal dergelijke informatie is gekocht, is vooralsnog niet duidelijk. De exportfuncties in de GGD-systemen werden een paar weken geleden uitgezet na berichtgeving door RTL Nieuws, NOS en Nieuwsuur.
Ook bij het eerdere datalek bleken veel voorzorgsmaatregelen, zoals het monitoren van verdacht gedrag, niet te zijn genomen. Daardoor bleven mensen die zonder reden in dossiers neusden, waaronder ook die van BN'ers, onder de radar.
Alle Nederlanders
Bij coronatest.nl lijken daarbij dezelfde fouten te worden gemaakt. Zo eist het ministerie van Binnenlandse Zaken dat er maatregelen worden genomen om te voorkomen dat onbevoegden bij data kunnen komen, de software op de server wordt bijgehouden en de software goed genoeg beveiligd is. Een aanzienlijk deel van die maatregelen is dus niet genomen.
In het verleden zijn ook al vaker gemeentelijke websites afgesloten van DigiD, omdat ze niet goed genoeg waren beveiligd. Dat een website die zich op alle Nederlanders richt mogelijk wordt afgesloten, is echter nog nooit gebeurd.
